SQL Injection

زبان پرس و جو ساختاریافته یا SQL (گاهی اوقات “عاقبت” تلفظ می شود)، زبان برنامه نویسی استانداردی است که برای برقراری ارتباط با پایگاه های داده رابطه ای استفاده می شود – سیستم هایی که از هر وب سایت و برنامه مبتنی بر داده در اینترنت پشتیبانی می کنند. مهاجم می تواند با وارد کردن یک پرس و جوی خاص SQL در فرم (تزریق آن به پایگاه داده) از این سیستم بسیار رایج استفاده کند، در این مرحله هکر می تواند به پایگاه داده، شبکه و سرورها دسترسی داشته باشد. اخیراً در نوامبر 2019، یک آسیب‌پذیری در phpMyAdmin، یکی از پرکاربردترین برنامه‌های مدیریت پایگاه داده MySQL در جهان، کشف شد که به هکرهایی که نام کاربری خاصی ایجاد می‌کردند، اجازه می‌داد به باطن سایت مورد نظر دسترسی پیدا کنند و به آنها اجازه می‌داد پیکربندی‌های سرور را حذف کنند.

آنچه باید بدانید:
تزریق SQL نوعی حمله تزریقی است که برای دستکاری یا تخریب پایگاه داده با استفاده از دستورات SQL مخرب استفاده می شود. دستورات SQL پایگاه داده برنامه وب شما را کنترل می کنند و اگر ورودی های کاربر به درستی پاکسازی نشده باشند، می توان از آنها برای دور زدن اقدامات امنیتی استفاده کرد.

حمله چگونه اتفاق می افتد:
یک حمله تزریق SQL شامل درج یا “تزریق” یک پرس و جو SQL از طریق داده های ورودی از مشتری به برنامه است. یک اکسپلویت تزریق موفق SQL می‌تواند داده‌های حساس را از پایگاه داده بخواند، داده‌های پایگاه داده را اصلاح کند، عملیات مدیریت روی پایگاه داده را اجرا کند، محتوای یک فایل موجود در سیستم فایل DBMS را بازیابی کند و در برخی موارد، دستوراتی را برای سیستم عامل صادر کند.

حمله از کجا می آید:
از آنجا که بسیاری از اینترنت بر روی پایگاه داده های رابطه ای ساخته شده است، حملات تزریق SQL بسیار رایج هستند. جستجو در پایگاه داده آسیب‌پذیری‌ها و مواجهه‌های رایج برای «تزریق» 10887 نتیجه را به دست می‌دهد.

:references

https://www.splunk.com